Die Expansion großer Städte und die Bildung von Ballungsräumen ist heute einer der wichtigen Trends der gesellschaftlichen Entwicklung. Allein Moskau soll im Jahr 2019 um 4 Millionen Quadratmeter Wohnraum wachsen (und dabei sind die 15 Siedlungen, die bis 2020 hinzukommen, noch nicht mitgerechnet). In diesem riesigen Gebiet müssen Telekommunikationsbetreiber den Benutzern Zugang zum Internet ermöglichen. Dies können entweder städtische Mikrobezirke mit dichter mehrstöckiger Bebauung oder eher „entladene“ Bauerndörfer sein. In diesen Fällen unterscheiden sich die Hardwareanforderungen geringfügig. Wir haben jedes dieser Szenarien analysiert und ein universelles optisches Schaltermodell erstellt – T2600G-28SQ. In diesem Beitrag analysieren wir im Detail die Fähigkeiten des Geräts, die für Telekommunikationsbetreiber in ganz Russland von Interesse sein werden.
Im Netzwerk platzieren
Der T2600G-28SQ-Switch ist sowohl für den Betrieb auf der Zugriffsebene im Netzwerk als auch für die Bündelung von Verbindungen von anderen Zugriffsebenen-Switches konzipiert. Dies ist ein Layer-2600-Switch, der Switching und statisches Routing durchführt. Wenn der Betreiber sowohl Aggregation als auch Zugriff (Routing nur im Netzwerkkern) umgestellt hat, passt der T28G-XNUMXSQ in jede der Ebenen. Bei der dynamisch gerouteten Aggregation müssen Sie dennoch einige Einschränkungen bei den Anwendungsfällen berücksichtigen.
Das Modell T2600G-28SQ ist ein vollwertiger aktiver Ethernet-Switch ohne zusätzliche Einschränkungen, die bei der Verwendung von xPON oder ähnlichen Technologien auftreten. Beispielsweise ohne die Gefahr eines starken Geschwindigkeitsabfalls bei steigender Nutzerzahl oder schlechter Kompatibilität zwischen Geräten unterschiedlicher Hersteller und Firmware. An die Geräteschnittstellen können sowohl Endbenutzer als auch zugrunde liegende Access Switches mit optischen Uplinks, beispielsweise das Modell T2600G-28TS, angeschlossen werden. Das folgende Diagramm zeigt die häufigsten Beispiele für solche Verbindungen.
Für den Zugriff auf das Netzwerk des Endbenutzers können Glasfaser- oder Twisted-Pair-Kabel verwendet werden. Auf der Teilnehmerseite kann die Glasfaser entweder mit einem Medienkonverter (Medienkonverter), zum Beispiel TP-Link MC220L, terminiert werden; und Verwendung der optischen Schnittstelle in einem SOHO-Router.
Um einen nahegelegenen Client anzuschließen, können Sie vier RJ-45-Ports mit Geschwindigkeiten von 10/100/1000 Mbit/s verwenden. Sollte dies aus irgendeinem Grund nicht ausreichen, kann der Betreiber die optischen Schnittstellen des Switches auf Kupfer „umrüsten“. Dies kann mithilfe spezieller „Kupfer“-SFPs mit einem RJ-45-Anschluss erfolgen. Eine solche Lösung kann jedoch nicht als typisch bezeichnet werden.
Einige Beispiele aus der Praxis
Um das Bild zu vervollständigen, geben wir einige Beispiele für die Verwendung der T2600G-28SQ-Switches.
Anbieter in der Region Moskau , das neben dem Internet auch Telefonie- und Kabelfernsehdienste anbietet, nutzt den T2600G-28SQ auf der Zugangsebene beim Aufbau von Netzwerken im privaten Bereich (Ferienhäuser und Stadthäuser). Clientseitig erfolgt die Anbindung an Router mit SFP-Port sowie Medienkonverter. Derzeit werden SOHO-Router mit SFP-Port in unserem Land nicht in Massenproduktion hergestellt, aber wir denken natürlich darüber nach.
Telekommunikationsbetreiber aus der Region Pavlovo-Posad nutzt T2600G-28SQ-Switches als „kleine Aggregation“ und nutzt für den Zugriff Switches der Modelle T2600G-28TS und T2500G-10TS.
Konzern Bereitstellung von Internetzugang, TV, Telefonie und Videoüberwachungssystemen im Südosten der Region Moskau (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). Die ungefähre Topologie entspricht hier der des ISS: T2600G-28SQ auf der Aggregationsebene und T2600G-28TS und T2500G-10TS auf der Zugriffsebene.
Anbieter aus Krasnoznamensk bietet Internetzugang über ein Netzwerk mit tiefer optischer Durchdringung. Es basiert ebenfalls auf dem T2600G-28SQ.
In den folgenden Abschnitten beschreiben wir kurz einige Funktionen des T2600G-28SQ. Um das Material nicht aufzublähen, haben wir einige Optionen weggelassen: QinQ (VLAN VPN), Routing, QoS usw. Wir denken, dass wir in einem der folgenden Beiträge darauf zurückkommen können.
Switch-Funktionen
Reservierung – STP
STP – Spanning Tree Protocol. Das Spanning Tree-Protokoll ist dank der angesehenen Radya Perlman seit sehr langer Zeit bekannt. In modernen Netzwerken versuchen Administratoren auf jede erdenkliche Weise, die Verwendung dieses Protokolls zu vermeiden. Ja, STP ist nicht ohne Nachteile. Und es ist sehr gut, wenn es eine Alternative dazu gibt. Allerdings hängt die Alternative zu diesem Protokoll, wie so oft, stark vom Anbieter ab. Daher ist das Spanning Tree Protocol bis heute nahezu die einzige Lösung, die von fast allen Herstellern unterstützt wird und auch allen Netzwerkadministratoren bekannt ist.
Der TP-Link T2600G-28SQ Switch unterstützt drei Versionen von STP: klassisches STP (IEEE 802.1D), RSTP (802.1W) und MSTP (802.1S).
Von diesen Optionen ist reguläres RSTP für die meisten kleinen Internetanbieter in Russland durchaus geeignet, was gegenüber der klassischen Version einen unbestreitbaren Vorteil hat – eine deutlich kürzere Konvergenzzeit.
Das derzeit flexibelste Protokoll ist MSTP, das virtuelle Netzwerke (VLANs) unterstützt und mehrere verschiedene Bäume ermöglicht, sodass Sie alle verfügbaren Backup-Pfade nutzen können. Der Administrator erstellt mehrere verschiedene Bauminstanzen (bis zu acht), von denen jede einen bestimmten Satz virtueller Netzwerke bedient.
Feinheiten von MSTPAnfänger müssen bei der Verwendung von MSTP sehr vorsichtig sein. Dies liegt daran, dass das Protokollverhalten innerhalb einer Region und zwischen Regionen unterschiedlich ist. Daher lohnt es sich, bei der Konfiguration von Switches darauf zu achten, innerhalb der gleichen Region zu bleiben.
Was ist diese berüchtigte Region? In MSTP-Begriffen ist eine Region eine Reihe miteinander verbundener Switches, die dieselben Merkmale aufweisen: Regionsname, Revisionsnummer und Verteilung virtueller Netzwerke (VLANs) zwischen Protokollinstanzen (Instanzen).
Natürlich ermöglicht Ihnen das Spanning Tree-Protokoll (jede Version) nicht nur den Umgang mit Schleifen, die beim Anschließen von Backup-Kanälen entstehen, sondern auch den Schutz vor Fehlern beim Kabelwechsel, wenn ein Techniker absichtlich oder unabsichtlich die falschen Ports verbindet und so eine Schleife mit seinen erzeugt Aktionen.
Erfahrenere Netzwerkadministratoren bevorzugen eine Vielzahl zusätzlicher Optionen, um das STP-Protokoll vor Angriffen oder komplexen Katastrophensituationen zu schützen. Das Modell T2600G-28SQ bietet eine ganze Reihe solcher Funktionen: Loop Protect und Root Protect, TC Guard, BPDU Protect und BPDU Filter.
Die ordnungsgemäße Verwendung der oben aufgeführten Optionen in Verbindung mit anderen unterstützten Schutzmechanismen stabilisiert das lokale Netzwerk und macht es vorhersehbarer.
Reservierung – LAG
LAG – Link-Aggregation-Gruppe. Dies ist eine Technologie, die es Ihnen ermöglicht, mehrere physische Kanäle zu einem logischen zu kombinieren. Alle anderen Protokolle verwenden die in der LAG enthaltenen physischen Kanäle nicht mehr separat und beginnen, eine logische Schnittstelle zu „sehen“. Ein Beispiel für ein solches Protokoll ist STP.
Der Benutzerverkehr wird basierend auf der Hash-Summe zwischen physischen Kanälen innerhalb logischer Kanäle ausgeglichen. Zur Berechnung können die MAC-Adressen des Absenders, des Empfängers oder eines Paars davon verwendet werden; sowie die IP-Adressen des Absenders, des Empfängers oder eines Paars davon. Layer-XNUMX-Protokollinformationen (TCP/UDP-Ports) werden nicht berücksichtigt.
Der T2600G-28SQ-Switch unterstützt statische und dynamische LAGs.
Um die Betriebsparameter einer dynamischen Gruppe auszuhandeln, wird das LACP-Protokoll verwendet.
Sicherheit – Zugriffslisten (ACLs)
Mit unserem T2600G-28SQ-Switch können Sie den Benutzerverkehr mithilfe von Zugriffslisten (ACL – Access Control List) filtern.
Unterstützte Zugriffslisten können unterschiedlicher Art sein: MAC und IP (IPv4/IPv6), kombiniert und auch für die Durchführung von Inhaltsfilterung. Die Anzahl der unterstützten Zugriffslistentypen hängt von der aktuell verwendeten SDM-Vorlage ab, die wir in einem anderen Abschnitt beschrieben haben.
Mit dieser Option kann der Betreiber verschiedenen unerwünschten Datenverkehr im Netzwerk blockieren. Ein Beispiel für solchen Datenverkehr wären IPv6-Pakete (unter Verwendung des EtherType-Felds), wenn der entsprechende Dienst nicht bereitgestellt wird; oder blockieren Sie SMB auf Port 445. In einem Netzwerk mit statischer Adressierung ist kein DHCP/BOOTP-Verkehr erforderlich, sodass der Administrator mithilfe einer ACL UDP-Datagramme auf den Ports 67 und 68 filtern kann. Sie können auch lokalen IPoE-Verkehr mithilfe einer ACL blockieren. Eine solche Blockierung kann in Betreibernetzwerken, die PPPoE verwenden, erforderlich sein.
Die Verwendung von Zugriffslisten ist äußerst einfach. Nachdem Sie die Liste selbst erstellt haben, müssen Sie ihr die erforderliche Anzahl von Datensätzen hinzufügen, deren Art direkt vom anzupassenden Blatt abhängt.
Zugriffslisten einrichten
Es ist erwähnenswert, dass Zugriffslisten nicht nur die üblichen Vorgänge des Zulassens oder Verweigerns von Datenverkehr, sondern auch die Umleitung und Spiegelung sowie Bemerkungen oder Ratenbegrenzungen durchführen können.
Sobald alle erforderlichen ACLs erstellt wurden, kann der Administrator sie installieren. Es ist möglich, eine Zugriffsliste sowohl an einen direkten physischen Port als auch an ein bestimmtes virtuelles Netzwerk anzuhängen.
Sicherheit – Anzahl der MAC-Adressen
Manchmal müssen Betreiber die Anzahl der MAC-Adressen begrenzen, die ein Switch an einem bestimmten Port lernt. Zugriffslisten ermöglichen es Ihnen, den angegebenen Effekt zu erzielen, erfordern jedoch gleichzeitig eine explizite Angabe der MAC-Adressen selbst. Wenn Sie nur die Anzahl der Kanaladressen begrenzen, diese aber nicht explizit angeben müssen, hilft die Portsicherheit.
Eine solche Einschränkung kann beispielsweise erforderlich sein, um den Anschluss eines gesamten lokalen Netzwerks an eine Provider-Switch-Schnittstelle zu verhindern. Erwähnenswert ist hier, dass es sich um eine DFÜ-Verbindung handelt, denn bei der Verbindung über einen Router auf der Client-Seite lernt der T2600G-28SQ nur eine Adresse – das ist der MAC, der zum WAN-Port des Client-Routers gehört .
Es gibt eine ganze Klasse von Angriffen, die sich gegen den Schalttisch richten. Dies könnte ein Tabellenüberlauf oder MAC-Spoofing sein. Mit der Port-Sicherheitsoption können Sie sich vor einem Überlauf der Bridge-Tabelle und vor Angriffen schützen, die darauf abzielen, den Switch absichtlich neu zu trainieren und seine Bridge-Tabelle zu vergiften.
Es ist unmöglich, die einfach fehlerhafte Kundenausrüstung nicht zu erwähnen. Es kommt häufig vor, dass eine fehlerhafte Computer-Netzwerkkarte oder ein fehlerhafter Router einen Frame-Stream mit völlig willkürlichen Absender- und Empfängeradressen erzeugt. Eine solche Strömung kann das CAM leicht entleeren.
Eine weitere Möglichkeit, die Anzahl der verwendeten Bridge-Tabelleneinträge zu begrenzen, ist das MAC-VLAN-Sicherheitstool, mit dem ein Administrator die maximale Anzahl von Einträgen für ein bestimmtes virtuelles Netzwerk festlegen kann.
Neben der Verwaltung dynamischer Einträge in der Schalttabelle kann der Administrator auch statische Einträge erstellen.
Die maximale Bridge-Tabelle des Modells T2600G-28SQ bietet Platz für bis zu 16 Datensätze.
Eine weitere Möglichkeit, die Übertragung des Benutzerverkehrs zu filtern, ist die Port-Isolation-Funktion, mit der Sie explizit festlegen können, in welche Richtung eine Weiterleitung zulässig ist.
Sicherheit – IMPB
In den Weiten unseres riesigen Heimatlandes variiert die Herangehensweise der Telekommunikationsbetreiber an Fragen der Gewährleistung der Netzwerksicherheit von völliger Unwissenheit bis hin zur maximal möglichen Nutzung aller von den Geräten unterstützten Optionen.
Mit den Funktionen IPv4 IMPB (IP-MAC-Port Binding) und IPv6 IMPB können Sie sich vor einer ganzen Reihe von Angriffen im Zusammenhang mit dem Spoofing von IP- und MAC-Adressen seitens der Abonnenten schützen, indem Sie die IP- und MAC-Adressen von Client-Geräten daran binden die Switch-Schnittstelle des Anbieters. Diese Bindung kann manuell oder mithilfe der ARP-Scanning- und DHCP-Snooping-Funktionen erfolgen.
Grundlegende IMPB-Einstellungen
Fairerweise muss gesagt werden, dass eine spezielle Funktion zum Schutz des DHCP-Protokolls verwendet werden kann – DHCP-Filter.
Mit dieser Funktion kann der Netzwerkadministrator manuell festlegen, an welchen Schnittstellen echte DHCP-Server angeschlossen sind. Dadurch wird verhindert, dass betrügerische DHCP-Server den IP-Aushandlungsprozess stören.
Sicherheit – DoS Defend
Das betrachtete Modell ermöglicht es uns, Benutzer vor mehreren der bekanntesten und bislang am weitesten verbreiteten DoS-Angriffe zu schützen.
Die meisten der aufgeführten Angriffe sind für Geräte mit modernen Betriebssystemen überhaupt nicht mehr gefährlich, in unseren Netzwerken kann es jedoch immer noch zu Angriffen kommen, bei denen das letzte Software-Update vor vielen Jahren durchgeführt wurde.
DHCP-Unterstützung
Der TP-Link T2600G-28SQ Switch kann sowohl als DHCP-Server oder Relay fungieren als auch verschiedene Filterungen von DHCP-Nachrichten durchführen, wenn ein anderes Gerät als Server fungiert.
Der einfachste Weg, Benutzern die IP-Parameter bereitzustellen, die sie für den Betrieb benötigen, ist die Verwendung des integrierten DHCP-Servers des Switches. Mit seiner Hilfe können den Abonnenten bereits die Grundparameter mitgeteilt werden.
Wir haben unseren Archer C6 SOHO-Router an eine der Switch-Schnittstellen angeschlossen und sichergestellt, dass das Client-Gerät erfolgreich eine Adresse empfangen hat.
Es sieht aus wie das
Der im Switch integrierte DHCP-Server ist vielleicht nicht die skalierbarste und flexibelste Lösung: Es gibt keine Unterstützung für nicht standardmäßige Optionen und es besteht keine Verbindung mit IPAM. Wenn der Betreiber mehr Kontrolle über den IP-Adressverteilungsprozess benötigt, wird ein dedizierter DHCP-Server verwendet.
Mit T2600G-28SQ können Sie für jedes Benutzersubnetz einen separaten dedizierten DHCP-Server angeben, an den Nachrichten des betreffenden Protokolls umgeleitet werden. Die Auswahl des Subnetzes erfolgt durch Angabe der entsprechenden L3-Schnittstelle: VLAN (SVI), gerouteter Port oder Port-Channel.
Um die Funktion des Relays zu testen, haben wir einen separaten Router eines anderen Herstellers als DHCP-Server konfiguriert, dessen Einstellungen unten aufgeführt sind.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Der Client-Router hat erneut erfolgreich eine IP-Adresse erhalten.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticUnter dem Spoiler befindet sich der Inhalt des abgefangenen Pakets zwischen dem Switch und einem dedizierten DHCP-Server.
Paket Inhalt
Es ist zu beachten, dass der Switch Option 82 unterstützt. Wenn diese Option aktiviert ist, fügt der Schalter Informationen über die Benutzeroberfläche hinzu, von der die DHCP-Discover-Nachricht empfangen wurde. Darüber hinaus können Sie beim Modell T2600G-28SQ die Richtlinie für die Verarbeitung zusätzlicher Informationen beim Einfügen der Option Nr. 82 konfigurieren. Die Unterstützung dieser Option kann in einer Situation nützlich sein, in der dem Abonnenten dieselbe IP-Adresse zugewiesen werden muss, unabhängig davon, welche Client-ID der Client über sich selbst meldet.
Die folgende Abbildung zeigt eine DHCP-Discover-Nachricht (gesendet per Relay) mit hinzugefügter Option Nr. 82.
Nachricht mit Option Nr. 82
Natürlich können Sie die Option Nr. 82 verwalten, ohne ein vollwertiges DHCP-Relay einzurichten; die entsprechenden Einstellungen werden im Unterabschnitt „DHCP L2 Relay“ vorgestellt.
Lassen Sie uns nun die DHCP-Servereinstellungen ändern, um zu demonstrieren, wie Option Nr. 82 funktioniert.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticHier ist so etwas
Die DHCP-Schnittstellen-Relay-Funktion ist in Situationen nützlich, in denen der Switch nicht nur über eine L3-Schnittstelle verfügt, die mit einem bestimmten Netzwerk verbunden ist, sondern diese Schnittstelle auch über eine IP-Adresse verfügt. Wenn auf einer solchen Schnittstelle keine Adresse vorhanden ist, hilft die DHCP-VLAN-Relay-Funktion. Informationen zum Subnetz werden in diesem Fall von der Standardschnittstelle übernommen, d. h. die Adressräume in mehreren virtuellen Netzwerken sind gleich (Überlappung).
Oftmals müssen Betreiber Abonnenten auch vor einer fehlerhaften oder böswilligen Aktivierung des DHCP-Servers auf Client-Geräten schützen. Wir haben beschlossen, diese Funktionalität in einem der Abschnitte zu Sicherheitsfragen zu besprechen.
IEEE 802.1X
Eine Möglichkeit zur Authentifizierung von Benutzern in einem Netzwerk ist die Verwendung des IEEE 802.1X-Protokolls. Die Popularität dieses Protokolls in den Netzwerken von Telekommunikationsbetreibern in Russland ist bereits rückläufig; es wird immer noch hauptsächlich in den lokalen Netzwerken großer Unternehmen zur Authentifizierung interner Benutzer der Organisation verwendet. Der T2600G-28SQ-Switch verfügt über 802.1X-Unterstützung, sodass der Provider ihn bei Bedarf problemlos nutzen kann.
Damit das IEEE 802.1X-Protokoll funktioniert, sind drei Teilnehmer erforderlich: Client-Geräte (Supplicant), Provider-Zugriffsschalter (Authenticator) und Authentifizierungsserver (normalerweise RADIUS-Server).
Die Grundkonfiguration auf der Bedienerseite ist äußerst einfach. Sie müssen lediglich die IP-Adresse des verwendeten RADIUS-Servers angeben, auf dem die Benutzerdatenbank gespeichert wird, und außerdem die Schnittstellen auswählen, für die eine Authentifizierung erforderlich ist.
Grundlegende 802.1X-Einrichtung
Auch auf der Clientseite ist eine geringfügige Konfiguration erforderlich. Alle modernen Betriebssysteme enthalten bereits die notwendige Software. Bei Bedarf können Sie jedoch den TP-Link 802.1x Client installieren und verwenden – eine Anwendung, mit der Sie den Client im Netzwerk authentifizieren können.
Wenn Sie den PC eines Benutzers direkt mit dem Netzwerk des Anbieters verbinden, müssen Authentifizierungseinstellungen für die für die Verbindung verwendete Netzwerkkarte aktiviert werden.
Derzeit ist jedoch normalerweise nicht der Computer des Benutzers direkt mit dem Netzwerk des Betreibers verbunden, sondern ein SOHO-Router, der das Funktionieren des lokalen Netzwerks des Teilnehmers (sowohl kabelgebundene als auch drahtlose Segmente) gewährleistet. In diesem Fall müssen alle 802.1X-Protokolleinstellungen direkt am Router vorgenommen werden.
Es scheint uns, dass diese Authentifizierungsmethode in Betreibernetzwerken zu Unrecht in Vergessenheit geraten ist. Ja, die strikte Bindung eines Teilnehmers an einen Switch-Port kann aus Sicht der Benutzergeräteeinstellungen eine einfachere Lösung sein. Wenn jedoch die Verwendung eines Logins und eines Passworts erforderlich ist, ist 802.1X im Vergleich zu den auf PPTP/L2TP/PPPoE-Tunneln basierenden Verbindungen kein so schweres Protokoll.
PPPoE-ID-Einfügung
Viele Benutzer nicht nur in unserem Land, sondern auf der ganzen Welt bevorzugen immer noch die Verwendung extrem einfacher Passwörter. Und Fälle von Identitätsdiebstahl sind leider keine Seltenheit. Wenn der Betreiber in seinem Netzwerk das PPPoE-Protokoll zur Authentifizierung von Benutzern verwendet, hilft der TP-Link T2600G-28SQ-Switch dabei, das Problem zu lösen, das mit dem Verlust von Anmeldeinformationen verbunden ist. Dies wird erreicht, indem der PPPoE Active Discovery-Nachricht ein spezielles Label hinzugefügt wird. Auf diese Weise kann der Anbieter den Abonnenten nicht nur durch Login und Passwort, sondern auch durch zusätzliche Daten authentifizieren. Zu diesen zusätzlichen Daten gehören die MAC-Adresse des Client-Geräts sowie die Switch-Schnittstelle, mit der es verbunden ist.
Einige Betreiber möchten dem Abonnenten (einem Paar aus Login und Passwort) grundsätzlich die Möglichkeit verweigern, im Netzwerk zu navigieren. Auch in diesem Fall hilft die PPPoE-ID-Einfügefunktion.
IGMP
Das IGMP (Internet Group Management Protocol) gibt es schon seit Jahrzehnten. Seine Popularität ist durchaus verständlich und leicht zu erklären. An der IGMP-Interaktion sind jedoch zwei Parteien beteiligt: der PC des Benutzers (oder ein anderes Gerät, beispielsweise eine STB) und der IP-Router, der ein bestimmtes Netzwerksegment bedient. Switches nehmen in keiner Weise an diesem Austausch teil. Es stimmt, die letzte Aussage ist nicht ganz richtig. Oder in modernen Netzwerken stimmt das überhaupt nicht. Switches unterstützen IGMP, um die Weiterleitung des Multicast-Verkehrs zu optimieren. Der Switch überwacht den Benutzerverkehr und erkennt darin IGMP-Berichtsnachrichten, mit deren Hilfe er Ports für die Weiterleitung des Multicast-Verkehrs bestimmt. Die beschriebene Option heißt IGMP Snooping.
Durch die Unterstützung des IGMP-Protokolls kann nicht nur der Verkehr als solcher optimiert werden, sondern auch die Teilnehmer ermittelt werden, denen ein bestimmter Dienst, beispielsweise IPTV, zur Verfügung gestellt werden kann. Sie können das gewünschte Ziel entweder durch manuelles Festlegen von Filterparametern oder durch die Verwendung von Authentifizierung erreichen.
Die Unterstützung für Multicast-Verkehr auf TP-Link-Switches ist recht flexibel implementiert. Beispielsweise können alle Parameter für jedes virtuelle Netzwerk separat eingestellt werden.
Wenn mehrere Subnetze mit Multicast-Verkehrsempfängern mit einer Router-Schnittstelle verbunden sind, wird dieser Router gezwungen, mehrere Kopien von Paketen über diese Schnittstelle zu senden (eine für jedes virtuelle Netzwerk).
In diesem Fall können Sie das Verfahren zur Weiterleitung des Multicast-Verkehrs mithilfe der MVR-Technologie – Multicast VLAN Registration – optimieren.
Der Kern der Lösung besteht darin, dass ein virtuelles Netzwerk geschaffen wird, das alle Empfänger vereint. Dieses virtuelle Netzwerk wird jedoch nur für Multicast-Verkehr verwendet. Dieser Ansatz ermöglicht es dem Router, nur eine Kopie des Multicast-Verkehrs über die Schnittstelle zu senden.
DDM, OAM und DLDP
DDM – Digitale Diagnoseüberwachung. Beim Betrieb optischer Module ist es häufig erforderlich, den Zustand des Moduls selbst sowie des optischen Kanals, an den es angeschlossen ist, zu überwachen. Die DDM-Funktion hilft Ihnen bei der Bewältigung dieser Aufgabe. Mit seiner Hilfe können Betreiberingenieure die Temperatur jedes Moduls, das diese Funktionalität unterstützt, seine Spannung und seinen Strom sowie die Leistung der gesendeten und empfangenen optischen Signale überwachen.
Durch das Festlegen von Schwellenwerten für die zuvor beschriebenen Parameter können Sie ein Ereignis generieren, wenn diese außerhalb des akzeptablen Bereichs liegen.
Festlegen von DDM-Antwortschwellenwerten
Selbstverständlich kann der Administrator die aktuellen Werte der angegebenen Parameter einsehen.
Der TP-Link T2600G-28SQ Switch verfügt über ein aktives Luftkühlungssystem. Darüber hinaus ist es aufgrund der Portdichte noch nie zu einer Überhitzung der SFP-Module in unseren Switches gekommen. Wenn eine solche Möglichkeit jedoch rein theoretisch zulässig ist (z. B. aufgrund eines Problems im SFP-Modul), wird der Administrator mithilfe von DDM sofort über eine potenziell gefährliche Situation informiert. Die Gefahr besteht hier offensichtlich nicht für den Schalter selbst, sondern für die Diode/den Laser im Inneren des SFP, da mit steigender Temperatur die Leistung des emittierten optischen Signals abnehmen kann, was zu einer Verringerung des optischen Budgets führt.
An dieser Stelle ist zu beachten, dass TP-Link-Switches nicht über eine „Vendor-Lock-Funktion“ verfügen, d. h. alle kompatiblen SFP-Module werden unterstützt, was für Netzwerkadministratoren natürlich sehr praktisch ist.
OAM – Betrieb, Verwaltung und Wartung (IEEE 802.3ah). OAM ist ein Protokoll der zweiten Schicht des OSI-Modells, das für die Überwachung und Fehlerbehebung von Ethernet-Netzwerken entwickelt wurde. Mithilfe dieses Protokolls kann der Switch die Leistung einer bestimmten Verbindung und Fehler überwachen und Warnungen generieren, damit der Netzwerkadministrator das Netzwerk effizienter verwalten kann.
Grundlegendes OAM-Setup
OAM-FunktionsdetailsZwei benachbarte OAM-fähige Geräte tauschen regelmäßig Nachrichten aus, indem sie OAMPDUs senden, die es in drei Typen gibt: Information, Ereignisbenachrichtigung und Loopback-Steuerung. Mithilfe von Informations-OAMPDUs senden sich benachbarte Switches gegenseitig statistische Informationen sowie vom Administrator definierte Daten. Dieser Nachrichtentyp wird auch zur Aufrechterhaltung einer Verbindung über das OAM-Protokoll verwendet. Ereignisbenachrichtigungsnachrichten werden von der Verbindungsüberwachungsfunktion verwendet, um die andere Partei über aufgetretene Fehler zu informieren. Loopback-Kontrollnachrichten werden verwendet, um eine Schleife auf einer Leitung zu erkennen.
Im Folgenden haben wir uns entschieden, die Hauptfunktionen aufzulisten, die das OAM-Protokoll bietet:
- Umgebungsüberwachung (Erkennung und Zählung gebrochener Frames),
- RFI – Remote Failure Indication (Senden einer Benachrichtigung über einen Fehler auf dem Kanal),
- Remote Loopback (Kanaltests zur Messung von Latenz, Verzögerungsschwankungen (Jitter) und Anzahl verlorener Frames).
Eine weitere Option, die bei optischen Schaltern gefragt ist, ist die Fähigkeit, Probleme auf dem Kommunikationskanal zu erkennen, die dazu führen, dass der Kanal simplex wird, d. h. Daten können nur in eine Richtung gesendet werden. Unsere Switches nutzen das DLDP – Device Link Detection Protocol, um unidirektionale Verbindungen zu erkennen. Fairerweise muss man erwähnen, dass das DLDP-Protokoll sowohl auf optischen als auch auf Kupferschnittstellen unterstützt wird, aber unserer Meinung nach wird es bei der Verwendung von Glasfaserleitungen am beliebtesten sein.
Wenn eine unidirektionale Verbindung erkannt wird, kann der Switch die problematische Schnittstelle automatisch abschalten, was zum Neuaufbau des STP-Baums und zur Verwendung von Backup-Kommunikationskanälen führt.
In unserem Arsenal gibt es SFP-Module, die Signale über eine Faser empfangen und übertragen. Sie arbeiten ausschließlich paarweise und nutzen für die Übertragung innerhalb des Paares optische Signale unterschiedlicher Wellenlänge. Ein Beispiel ist das Paar TL-SM321A und TL-SM321B. Bei Verwendung solcher Module führt eine Beschädigung einer Faser zur vollständigen Funktionsunfähigkeit des gesamten optischen Kanals. Allerdings wird auch auf solchen Kanälen das DLDP-Protokoll gefragt sein, da dies zwar äußerst selten vorkommt, der Kanal jedoch für unterschiedliche Wellenlängen unterschiedliche Transparenzeigenschaften aufweisen kann. Ein wahrscheinlicheres Problem besteht darin, dass die Transparenz des Kanals je nach Richtung der Lichtausbreitung variiert. Ein Reflektogramm hilft dabei, diese Probleme zu erkennen, aber das ist eine ganz andere Geschichte.
LLDP
In großen Unternehmens- oder Betreibernetzwerken kommt es regelmäßig zu Problemen mit der Veralterung der Netzwerkdokumentation oder Ungenauigkeiten bei der Erstellung. Ein Netzwerkadministrator kann mit der Situation konfrontiert werden, dass er herausfinden muss, welche Bediengeräte tatsächlich an eine bestimmte Switch-Schnittstelle angeschlossen sind. Das LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) wird Abhilfe schaffen.
LLDP-Betriebsparameter
Unsere Switches unterstützen LLDP nicht nur zur Erkennung benachbarter Switches oder anderer Netzwerkgeräte, sondern auch zur Bestimmung ihrer Fähigkeiten.
Die Kupfer-Pendants unseres Switches können LLDP-MED nutzen, um den Anschluss von IP-Telefonen zu vereinfachen. Mithilfe dieser Option kann der PoE-Switch außerdem Leistungsparameter mit dem mit Strom versorgten Gerät aushandeln. Darüber haben wir in einem unserer Artikel bereits ausführlich gesprochen .
SDM und Überzeichnung
Fast alle modernen Switches verarbeiten übertragene Frames und Pakete ohne den Einsatz eines zentralen Prozessors. Die Verarbeitung (Berechnung von Prüfsummen, Anwenden von Zugriffslisten und Durchführen anderer Sicherheitsprüfungen sowie Treffen von Switching-/Routing-Entscheidungen) erfolgt mithilfe spezieller Chips, was eine hohe Übertragungsgeschwindigkeit des Benutzerverkehrs ermöglicht. Der diskutierte Switch ermöglicht die Verarbeitung des Datenverkehrs mit mittlerer Geschwindigkeit. Das bedeutet, dass die Leistung des Geräts ausreicht, um auf allen Ports gleichzeitig Daten mit höchstmöglicher Geschwindigkeit zu versenden. Das Modell T2600G-28SQ verfügt über 24 Downlink-Ports (Richtung Benutzer) mit Geschwindigkeiten von 1 Gbit/s sowie 4 Uplink-Ports (Richtung Netzwerkkern) mit 10 Gbit/s. Gleichzeitig beträgt die Leistung des Switch-Cross-Busses 128 Gbit/s, was ausreicht, um die maximale Menge an eingehendem Datenverkehr zu verarbeiten.
Fairerweise ist anzumerken, dass die Leistung der Schaltmatrix 95,2 Millionen Pakete pro Sekunde beträgt. Das heißt, bei Verwendung minimal möglicher Frames mit einer Länge von nur 64 Byte beträgt die Gesamtleistung des Geräts 97,5 Gbit/s. Für Telekommunikationsbetreibernetze ist ein solches Verkehrsprofil jedoch nahezu unmöglich.
Was ist Überzeichnung?Ein weiterer wichtiger Punkt ist das Verhältnis der Geschwindigkeiten von Upstream- und Downstream-Kanälen (Überbuchung). Hier kommt es natürlich auf die Topologie an. Wenn der Administrator alle vier 10-GE-Schnittstellen für die Verbindung zum Netzwerkkern nutzt und sie mithilfe der LAG- (Link Aggregation Group) oder Port-Channel-Technologie kombiniert, beträgt die statistisch ermittelte Geschwindigkeit zum Kern 40 Gbit/s, was mehr ist als genug, um die Bedürfnisse aller angeschlossenen Abonnenten zu befriedigen. Darüber hinaus ist es nicht notwendig, dass alle vier Uplinks mit einem physischen Gerät verbunden sind. Die Verbindung kann zu einem Switch-Stack oder zu zwei zu einem Cluster zusammengefassten Geräten (mittels vPC-Technologie o.ä.) erfolgen. In diesem Fall liegt keine Überzeichnung vor.
Sie können alle vier Uplinks gleichzeitig nutzen, nicht nur indem Sie sie mithilfe von LAG kombinieren. Ein ähnlicher Effekt kann durch die richtige Konfiguration von MSTP erzielt werden, aber das ist eine ganz andere Geschichte.
Die zweite häufig verwendete L2-Verbindungsmethode besteht darin, zwei unabhängige LAGs zu verwenden (eine für jeden Aggregations-Switch). In diesem Fall wird höchstwahrscheinlich eine der virtuellen Verbindungen durch das STP-Protokoll blockiert (bei Verwendung von STP oder RSTP). Die Überzeichnung beträgt 5:6.
Eine seltenere, aber dennoch durchaus wahrscheinliche Situation: Der T2600G-28SQ ist über unabhängige Kanäle mit einem oder mehreren Upstream-Switches verbunden. Das STP/RSTP-Protokoll lässt nur einen solchen Link in einem nicht blockierten Zustand. Die Überzeichnung beträgt 5:12.
Aufgabe mit einem Sternchen: Berechnen Sie die Überbelegung für die im STP-Abschnitt beschriebenen Situationen, in denen wir uns eine Beispieltopologie angesehen haben, bei der zwei Zugangs-Switches an dasselbe Aggregationsgerät angeschlossen und miteinander verbunden sind.
Die programmierbaren Chips, die solch hohe Übertragungsgeschwindigkeiten ermöglichen, sind eine ziemlich teure Ressource, daher versuchen wir, ihre Nutzung zu optimieren, indem wir die Ressourcen richtig auf verschiedene Funktionen verteilen. Für die Verteilung ist SDM – Switch Database Management zuständig.
Die Verteilung erfolgt über das SDM-Profil. Derzeit stehen drei Profile zur Verwendung zur Verfügung, die unten aufgeführt sind.
- Default bietet eine ausgewogene Lösung für die Verwendung von MAC- und IP-Zugriffslisten sowie ARP-Erkennungseinträgen.
- Mit EnterpriseV4 können Sie die für die Nutzung durch MAC- und IP-Zugriffslisten verfügbaren Ressourcen maximieren.
- EnterpriseV6 weist einige Ressourcen zur Verwendung durch IPv6-Zugriffslisten zu.
Der Switch muss neu gestartet werden, um das neue Profil anzuwenden.
Abschluss
Gemäß der Ausgangspositionierung eignet sich dieser Switch am besten für Telekommunikationsbetreiber, die vor der Aufgabe stehen, einen Netzwerkzugang über große Entfernungen bereitzustellen. Das Gerät kann sowohl auf der Zugangsebene, beispielsweise in Ferienhaussiedlungen und Stadthäusern, als auch zur Bündelung von Kanälen verwendet werden, die von Zugangsschaltern in Mehrfamilienhäusern kommen; das heißt, überall dort, wo Verbindungen zu entfernten Objekten erforderlich sind. Bei der Nutzung optischer Kommunikationskanäle kann sich der angeschlossene Teilnehmer in einer Entfernung von bis zu mehreren Kilometern befinden.
Clientseitig können optische Verbindungen an kleinen Switches mit optischen Schnittstellen oder an Medienkonvertern terminiert werden.
Eine große Anzahl unterstützter Protokolle und Optionen ermöglichen den Einsatz des T2600G-28SQ im Ethernet-Netzwerk eines Betreibers mit jeder Topologie und jedem Satz verwendeter Technologien und bereitgestellter Dienste. Der Switch wird remote über die Weboberfläche oder die Befehlszeile verwaltet. Wenn eine lokale Konfiguration erforderlich ist, können Sie den Konsolenanschluss verwenden; das Modell T2600G-28SQ verfügt über zwei davon: RJ-45 und Micro-USB. Als kleinen Wermutstropfen vermerken wir die fehlende Unterstützung für Stacking und ein zweites Netzteil. Allerdings ist das Vorhandensein einer zweiten Stromleitung normalerweise außerhalb der Rechenzentren der Anbieter selten.
Zu seinen Vorteilen zählen ein niedriger Preis, eine große Anzahl optischer Teilnehmerports, das Vorhandensein von 10 optischen GE-Uplinks sowie vier kombinierte Ports und eine Verkehrsweiterleitung mit mittlerer Geschwindigkeit.
Source: habr.com